How To
Summary
この記事では、QRadar API を使用して、カスタム・ルールに関連付けられたグループ名を検索する方法について説明します。
Steps
ルールに関連付けられたルール・グループ名の取得は、2 つのステップで行います。
I. GET - /analytics/rules API を使用して、特定のルールの rule_id を取得します。
II. rule_id を使用してグループ名を取得します。
ステップ 1 : ルールの rule_id を取得する
- analytics グループで、rules API を参照します。
- API のパラメーター ( parameters ) で、以下の値を指定します。
パラメーター ( Parameters ) :- fields: このパラメーターは、応答で取得するフィールドを指定するためのものです。 ここでは、ルールに関連付けられたグループの「 id 」フィールドを検索します。
- filter: ここで、「 name = <Rule_name> 」を指定します。
- Range: このパラメーターは、リストで返されるエレメントの数を、指定された範囲に制限します。
注 : 各パラメーターの詳細については、GUI の API パラメーター・セクションを参照してください。
- 「 Try it Out! 」ボタンをクリックします。 API 応答が成功すると、以下に示すように rule_id が取得されます。
- 対応する API の curl 同等コマンドは、GUI の cURL セクションで以下のように使用できます。
curl -S -X GET -u admin -H 'Range: items=0-49' -H 'Version: 19.0' -H 'Accept: application/json' 'https://<CONSOLE IP/FQDN>/api/analytics/rules?fields=id&filter=name%20%3D%20%22Possible%20Local%20IRC%20Server%22'
ステップ 2 : ルール ID に関連付けられたルール・グループ名を取得する
- analytics グループで rule_groups API を参照します。
- パラメーター ( parameters ) で、以下の値を指定します。
パラメーター ( Parameters ) :- fields: このパラメーターは、応答で取得するフィールドを指定するためのものです。 ここでは、ルールに関連付けられたグループの「 name 」フィールドを検索します。
- filter: ここで、「 child_items contains <Rule_id> 」を指定します。 この ID は、前のステップから取得されます。
- Range: このパラメーターは、リストで返されるエレメントの数を、指定された範囲に制限します。
注 : 各パラメーターの詳細については、GUI の API パラメーター・セクションを参照してください。
- 「 Try it Out! 」ボタンをクリックします。 API 応答が成功すると、以下に示すようにグループ名が取得されます。
ここで、クエリーのルールは、2 つのグループ「コンプライアンス ( Compliance ) 」と「脅威 (Threats) 」の一部です。 - 対応する API の curl 同等コマンドは、GUI の cURL セクションで以下のように使用できます。
curl -S -X GET -u admin -H 'Range: items=0-5' -H 'Version: 19.0' -H 'Accept: application/json' 'https://<CONSOLE IP/FQDN>/api/analytics/rule_groups?fields=name&filter=child_items%20contains%20100241'
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtrAAA","label":"Rules"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"7.4.3;and future releases"}]
Was this topic helpful?
Document Information
Modified date:
31 January 2023
UID
ibm16848853